gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-17 07:11:47 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
c720f88c58ff9982215858662ba31ad7e3272180
hacktricks-cloud/src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md

5.0 KiB
Raw Blame History

AWS - Macie Enum

AWS - Macie Enum

{{#include ../../../../banners/hacktricks-training.md}}

Macie

Amazon Macie si distingue come un servizio progettato per rilevare, classificare e identificare automaticamente i dati all'interno di un account AWS. Sfrutta l'apprendimento automatico per monitorare e analizzare continuamente i dati, concentrandosi principalmente sul rilevamento e sull'allerta contro attività insolite o sospette esaminando i dati degli eventi di cloud trail e i modelli di comportamento degli utenti.

Caratteristiche principali di Amazon Macie:

  1. Revisione attiva dei dati: Utilizza l'apprendimento automatico per rivedere attivamente i dati mentre si verificano varie azioni all'interno dell'account AWS.
  2. Rilevamento delle anomalie: Identifica attività irregolari o modelli di accesso, generando avvisi per mitigare i potenziali rischi di esposizione dei dati.
  3. Monitoraggio continuo: Monitora e rileva automaticamente nuovi dati in Amazon S3, impiegando l'apprendimento automatico e l'intelligenza artificiale per adattarsi ai modelli di accesso ai dati nel tempo.
  4. Classificazione dei dati con NLP: Utilizza l'elaborazione del linguaggio naturale (NLP) per classificare e interpretare diversi tipi di dati, assegnando punteggi di rischio per dare priorità ai risultati.
  5. Monitoraggio della sicurezza: Identifica dati sensibili alla sicurezza, inclusi chiavi API, chiavi segrete e informazioni personali, aiutando a prevenire perdite di dati.

Amazon Macie è un servizio regionale e richiede il ruolo IAM 'AWSMacieServiceCustomerSetupRole' e un AWS CloudTrail abilitato per il funzionamento.

Sistema di Allerta

Macie categorizza gli avvisi in categorie predefinite come:

  • Accesso anonimizzato
  • Conformità dei dati
  • Perdita di credenziali
  • Escalation dei privilegi
  • Ransomware
  • Accesso sospetto, ecc.

Questi avvisi forniscono descrizioni dettagliate e suddivisioni dei risultati per una risposta e una risoluzione efficaci.

Caratteristiche del Dashboard

Il dashboard categorizza i dati in varie sezioni, tra cui:

  • Oggetti S3 (per intervallo di tempo, ACL, PII)
  • Eventi/utenti CloudTrail ad alto rischio
  • Località delle attività
  • Tipi di identità utente CloudTrail, e altro ancora.

Categorizzazione degli Utenti

Gli utenti sono classificati in livelli in base al livello di rischio delle loro chiamate API:

  • Platino: Chiamate API ad alto rischio, spesso con privilegi di amministratore.
  • Oro: Chiamate API relative all'infrastruttura.
  • Argento: Chiamate API a rischio medio.
  • Bronzo: Chiamate API a basso rischio.

Tipi di Identità

I tipi di identità includono Root, utente IAM, Ruolo Assunto, Utente Federato, Account AWS e Servizio AWS, indicando la fonte delle richieste.

Classificazione dei Dati

La classificazione dei dati comprende:

  • Tipo di Contenuto: Basato sul tipo di contenuto rilevato.
  • Estensione del File: Basato sull'estensione del file.
  • Tema: Categorizzato per parole chiave all'interno dei file.
  • Regex: Categorizzato in base a specifici modelli regex.

Il rischio più alto tra queste categorie determina il livello di rischio finale del file.

Ricerca e Analisi

La funzione di ricerca di Amazon Macie consente query personalizzate su tutti i dati di Macie per un'analisi approfondita. I filtri includono Dati CloudTrail, proprietà del Bucket S3 e Oggetti S3. Inoltre, supporta l'invito di altri account a condividere Amazon Macie, facilitando la gestione collaborativa dei dati e il monitoraggio della sicurezza.

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Exploitation

Tip

Dal punto di vista di un attaccante, questo servizio non è progettato per rilevare l'attaccante, ma per rilevare informazioni sensibili nei file memorizzati. Pertanto, questo servizio potrebbe aiutare un attaccante a trovare informazioni sensibili all'interno dei bucket.
Tuttavia, forse un attaccante potrebbe anche essere interessato a interromperlo per impedire alla vittima di ricevere avvisi e rubare più facilmente quelle informazioni.

TODO: PRs sono benvenuti!

References

{{#include ../../../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink